Bundesamt für Sicherheit in der Informationstechnik

M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nachdem ein Outsourcing-Dienstleister ausgewählt wurde, müssen alle Aspekte des Outsourcing-Vorhabens vertraglich in sogenannten Service Level Agreements (SLAs) festgehalten und geregelt werden. Die Aspekte, die im Folgenden beschrieben werden, sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen immer vom speziellen Outsourcing-Projekt ab. Je höher der Schutzbedarf der ausgelagerten IT-Systeme und Anwendungen ist, desto sorgfältiger und detaillierter muss der Vertrag zwischen Auftraggeber und Dienstleister ausgehandelt werden. Der Dienstleister sollte auf Einhaltung des IT-Grundschutzes und auf die vom Auftraggeber vorgegebenen Sicherheitsanforderungen verpflichtet werden (siehe M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ). Dazu gehört natürlich, dass der Outsourcing-Dienstleister sich verpflichtet, ein Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts zu erstellen und Sicherheitsmaßnahmen sowie Systeme und Anwendungen zu dokumentieren.

Zusätzlich zur allgemeinen Leistungsbeschreibung empfiehlt es sich jedoch immer, auch eine genaue quantitative Leistungsbeschreibung vertraglich zu fixieren, z. B. zu Verfügbarkeitsanforderungen, Reaktionszeiten, Rechenleistung, zur Verfügung stehendem Speicherplatz, Anzahl der Mitarbeiter, Supportzeiten.

Generell wäre eine allgemeine Verpflichtung auf die Einhaltung des IT-Grundschutzes zwar zufriedenstellend, es empfiehlt sich jedoch immer, alle vereinbarten Leistungen so genau und eindeutig wie möglich vertraglich festzuhalten. Dadurch lassen sich später Streitigkeiten zwischen den Parteien vermeiden. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages, die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden, sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. Auch die Erstellung des Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. Insbesondere ist zu klären, wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen.

Im Folgenden findet sich eine Themenliste von Aspekten, die aus Sicherheitssicht geregelt werden sollten. Weitere Hinweise zu Details können den jeweiligen Maßnahmen der IT-Grundschutz-Kataloge entnommen werden:

Infrastruktur

  • Absicherung der Infrastruktur des Dienstleisters (z. B. Zutrittskontrolle, Brandschutz, ...)

Organisatorische Regelungen/ Prozesse

  • Festlegung von Kommunikationswegen und Ansprechpartnern
  • Festlegung von Prozessen, Arbeitsabläufen und Zuständigkeiten
    • Verfahren zur Behebung von Problemen, Benennung von Ansprechpartnern mit den nötigen Befugnissen
    • regelmäßige Abstimmungsrunden
  • Archivierung und Löschung von Datenbeständen (insbesondere bei Beendigung des Vertragsverhältnisses)
  • Zugriffsmöglichkeiten des Dienstleisters auf IT-Ressourcen des Auftraggebers: Wer greift wie auf welches System zu? Wie sind die Zuständigkeiten und Rechte?
  • Zutritts- und Zugriffsberechtigungen für Mitarbeiter des Dienstleisters zu den Räumlichkeiten und IT-Systemen des Auftraggebers
  • Zutritts- und Zugriffsberechtigungen für Mitarbeiter des Auftraggebers zu den Räumlichkeiten und IT-Systemen des Dienstleisters

Personal

  • Gestaltung der Arbeitsplätze von externen Mitarbeitern (Einhalten von Computerarbeitsplatzrichtlinien)
  • Festlegung und Abstimmung von Vertretungsregelungen
  • Verpflichtung zu Fortbildungsmaßnahmen

Notfallvorsorge

  • Kategorien zur Einteilung von Fehlern und Störfällen nach Art, Schwere und Dringlichkeit
  • erforderliche Handlungen beim Eintreten eines Störfalls
  • Reaktionszeiten und Eskalationsstufen
  • Mitwirkungspflicht des Auftraggebers bei der Behebung von Notfällen
  • Art und zeitliche Abfolge von regelmäßigen und adäquaten Notfallübungen
  • Art und Umfang der Datensicherung
  • Vereinbarung, ob bzw. welche Systeme redundant ausgelegt sein müssen
  • Von besonderer Bedeutung können Regelungen im Fall höherer Gewalt sein. Es sollte beispielsweise geklärt sein, wie bei einem Streik des Personals des Dienstleisters die Verfügbarkeit von Daten und Systemen sichergestellt werden kann. Besonders wenn Dienstleister und Auftraggeber unterschiedlichen Branchen angehören oder ihren Sitz in verschiedenen Ländern haben, kann der Auftraggeber von derartigen Vorkommnissen gänzlich überrascht werden.

Haftung, juristische Rahmenbedingungen

  • Eine Verpflichtung auf die Einhaltung von geltenden Normen und Gesetzen sowie der vereinbarten Sicherheitsmaßnahmen und sonstigen Rahmenbedingungen ist vertraglich zu regeln. Ebenso sind Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) vertraglich zu fixieren.
  • Die Einbindung Dritter, Subunternehmer und Unterauftragnehmer des Dienstleisters ist zu regeln. In der Regel empfiehlt es sich nicht, diese grundsätzlich auszuschließen, sondern sinnvolle Regelungen festzulegen.
  • Die Eigentums- und Urheberrechte an Systemen, Software und Schnittstellen sind festzulegen. Es ist auch zu klären, ob der Dienstleister bereits bestehende Verträge mit Dritten (Hardwareausstattung, Serviceverträge, Softwarelizenzen etc.) übernimmt.
  • Die Weiterverwendung der vom Dienstleister eingesetzten Tools, Prozeduren, Skripte, Batchprogramme ist für den Fall der Beendigung des Dienstleistungsverhältnisses zu regeln.
  • Regelungen für das Ende des Outsourcing-Vorhabens, z. B. für einen Wechsel oder bei Insolvenz des Dienstleisters, können spezifiziert werden. Auf ein ausreichend flexibles Kündigungsrecht ist zu achten.
  • Der Auftragnehmer ist zu verpflichten, nach Beendigung des Auftrags alle Hard- und Software inklusive gespeicherter Daten, die dem Auftraggeber gehören, zurückzugeben. Alle vorhandenen Daten inklusive Datensicherungen sind ebenfalls zurückzugeben oder (je nach Vereinbarung) zu vernichten.
  • Die Aufteilung von Risiken zwischen Auftraggeber und Dienstleister muss bedacht werden.
  • Haftungsfragen im Schadensfall sind zu klären.
  • Sanktionen oder Schadensersatz bei Nichteinhaltung der Dienstleistungsqualität müssen festgelegt werden. Die Bedeutung von Schadensersatzzahlungen und juristischen Konsequenzen sollte dabei nicht überschätzt werden. Zu bedenken sind unter anderem die folgenden Punkte
    • Quantifizierbarkeit des Schadens
      • Wie wird beispielsweise ein Imageschaden gemessen?
      • Wie ist es zu bewerten, wenn gravierende Pflichtverletzungen aufgedeckt werden, die nur zufällig nicht zu einem größeren Schaden geführt haben?
    • Insolvenz des Dienstleisters
      • Das Recht auf Schadensersatzzahlungen ist wertlos, wenn diese die Zahlungsfähigkeit des Dienstleisters übersteigen und dieser Insolvenz anmeldet. Nachfolgend fallen dann mindestens Kosten für den Umzug zu einem neuen Dienstleister an.
    • Katastrophale Schäden
      • Eine Konventionalstrafe kommt zu spät, wenn der Auftraggeber durch das Ausmaß des Schadensereignisses seiner Geschäftsgrundlage beraubt wird und im schlimmsten Fall durch die Schadensfolgen die Zahlungsunfähigkeit eintritt.
    • Beweisbarkeit
      • Kann ein Schaden nachgewiesen bzw. der Verursacher überführt werden (z. B. Nachweis von Spionage oder Manipulationen)?
    Es ist immer zu bedenken, dass Schadensersatzzahlungen nur das allerletzte Mittel sind und nicht dazu führen dürfen, dass aus Kostengründen andere Sicherheitsmaßnahmen vernachlässigt werden. Sicherheit lässt sich nicht mit juristischen Mitteln erzielen.

Mandantenfähigkeit

  • Die notwendige Trennung von IT-Systemen und Anwendungen verschiedener Kunden muss vereinbart werden.
    • Es ist sicherzustellen, dass Probleme bei anderen Kunden nicht die Abläufe und Systeme des Auftraggebers beeinträchtigen.
    • Es ist sicherzustellen, dass Daten des Auftraggebers unter keinen Umständen anderen Kunden des Outsourcing-Dienstleisters zugänglich werden.
  • Es ist ein Mandantenkonzept durch den Outsourcing-Dienstleister zu erstellen, in dem beschrieben wird, wie sichergestellt wird, dass die IT-Systeme und Anwendungen mandantenfähig betrieben werden. Dies ist vom Kunden daraufhin zu überprüfen, ob durch die beschriebenen Maßnahmen für den jeweiligen Schutzbedarf eine ausreichende Trennung verschiedener Mandanten erreicht werden kann.
  • Falls notwendig, muss die physikalische Trennung (d. h. dezidierte Hardware) vereinbart werden.
  • Falls notwendig, muss vereinbart werden, dass die vom Dienstleister eingesetzten Mitarbeiter nicht für andere Auftraggeber eingesetzt werden. Es kann auch sinnvoll sein, diese auf Verschwiegenheit zu verpflichten, so dass die eingesetzten Mitarbeiter nicht mit anderen Mitarbeitern des Dienstleisters auftraggeberbezogene Informationen austauschen dürfen.

Änderungsmanagement und Testverfahren

  • Es müssen Regelungen gefunden werden, die es ermöglichen, dass der Auftraggeber immer in der Lage ist, sich neuen Anforderungen anzupassen. Dies gilt insbesondere, wenn beispielsweise gesetzliche Vorgaben geändert wurden. Es ist festzulegen, wie auf Systemerweiterungen, gestiegene Anforderungen oder knapp werdende Ressourcen reagiert wird.
  • In diesem Zusammenhang ist auch die Betreuung und Weiterentwicklung bereits vorhandener Systeme zu regeln. Nicht selten übernimmt der Dienstleister selbstentwickelte Systeme oder Software vom Auftraggeber, der damit die Fähigkeit verliert, diese in seinem Sinne weiterzuentwickeln. Der Evolutionspfad von Systemen muss daher geregelt werden.
  • Eine kontinuierliche Verbesserung der Dienstleistungsqualität und des Sicherheitsniveaus sollte bereits in den SLAs festgeschrieben werden.
  • Der Zeitrahmen für die Behebung von Fehlern ist festzulegen.
  • Testverfahren für neue Soft- und Hardware sind zu vereinbaren. Dabei sind folgende Punkte einzubeziehen:
    • Regelungen für Updates und Systemanpassungen
    • Trennung von Test- und Produktionssystemen
    • Zuständigkeiten bei der Erstellung von Testkonzepten
    • Festlegen von zu benutzenden Testmodellen
    • Zuständigkeiten bei Auftraggeber und Dienstleister bei der Durchführung von Tests (z. B. Mitarbeit oder Hilfestellung des Auftraggebers, Abnahme- und Freigabeprozeduren)
    • Informationspflicht und Absprache vor wichtigen Eingriffen ins System (Negativbeispiel: Der Dienstleister spielt ein neues Betriebssystem auf dem Server ein. Durch unerwartete Fehler dabei werden wichtige Anwendungen gestört, ohne dass der Auftraggeber sich vorbereiten konnte.)
    • Genehmigungsverfahren für die Durchführung von Tests
    • Festlegung zumutbarer Qualitätseinbußen während der Testphase (z. B. Verfügbarkeit)

Kontrollen

  • Dienstleistungsqualität und IT-Sicherheit müssen regelmäßig kontrolliert werden. Der Auftraggeber muss die dazu notwendigen Auskunfts-, Einsichts-, Zutritts- und Zugangsrechte besitzen. Wenn unabhängige Dritte Audits oder Benchmark-Tests durchführen sollen, muss dies bereits im Vertrag geregelt sein.
  • Allen Institutionen, die beim Auftraggeber Prüfungen durchführen müssen (z. B. Aufsichtsbehörden) müssen auch beim Outsourcing-Dienstleister die entsprechenden Kontrollmöglichkeiten (z. B. Zutrittsrechte, Dateneinsicht) eingeräumt werden.

Prüffragen:

  • Sind alle Aspekte des Outsourcing-Vorhabens mit dem Outsourcing-Dienstleister schriftlich geregelt?

  • Sind die Verantwortlichkeiten und Mitwirkungspflichten zur Erstellung des IT -Sicherheitskonzepts zwischen Outsourcing-Dienstleister und Auftraggeber geregelt?

Stand: 13. EL Stand 2013